La présidente de la CNIL a rappelé à deux organismes procédant à des recherches médicales leurs obligations légales.
Deux organismes procédant à des recherches médicales entre janvier et juillet 2022 ont fait l’objet d’un signalement ayant donné lieu à un contrôle de la CNIL. Cette dernière a constaté plusieurs manquements aux règles sur la protection des données, dont l’absence d’analyse d’impact et la délivrance aux patients concernés d’une information incomplète[1].
1. Sur l’obligation de réaliser une étude d’impact
A titre liminaire, la CNIL a rappelé qu’ « à l’exception des recherches internes (réalisées à partir des données collectées pendant les soins par les professionnels de santé prenant en charge les patients, et pour leur usage exclusif), les recherches en santé doivent être autorisées par la CNIL ou être conformes à une méthodologie de référence. »
Ces méthodologies sont au nombre de six dont :
– Pour les recherches impliquant la personne humaine :
o La MR-001, pour les recherches interventionnelles et les recherches interventionnelles à risques et contraintes minimes ;
o La MR-002 ou la MR-003, pour les recherches non-interventionnelles ;
– Pour les recherches n’impliquant pas la personne humaine, la MR-004.
En application de ces méthodologies, une analyse d’impact doit être réalisée et ce, avant le démarrage de la recherche. A titre d’illustration, la méthodologie de référence « MR-001 » indique que : « Le responsable du traitement doit effectuer une analyse d’impact relative à la protection des données, qui doit couvrir en particulier les risques sur les droits et libertés des personnes concernées. Il met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques identifiés. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires. »
Ce n’est qu’une fois l’analyse d’impact réalisée que le responsable du traitement est censé être en mesure de décider entre :
– Une demande d’autorisation à la CNIL (hypothèse dans laquelle l’analyse d’impact révèle que les traitements envisagés dans le cadre de la recherche ne sont pas conformes à la méthodologie de référence applicable) ; ou
– Un engagement de conformité à la méthodologie de référence applicable (hypothèse dans laquelle l’analyse d’impact révèle que les traitements envisagés dans le cadre de la recherche sont conformes à la méthodologie de référence applicable).
En l’espèce, les deux organismes visés par le contrôle de la CNIL n’avaient réalisé aucune analyse d’impact concernant les recherches médicales menées.
2. Sur l’obligation d’informer les personnes concernées
La CNIL a constaté que l’information délivrée par les deux organismes aux personnes participant aux recherches était incomplète. L’autorité de contrôle a notamment souligné que « les feuillets d’information remis par les deux organismes ne précisaient ni la nature des informations collectées ni leur durée de conservation ». Par ailleurs, ces supports n’indiquaient pas les coordonnées du délégué à la protection des données, ni les modalités de recours auprès de la CNIL.
Enfin, et surtout, la CNIL a relevé qu’une notice d’information affirmait que les données étaient anonymisées, ce qui n’était pas le cas, « puisque l’identité des patients était seulement remplacée par un « numéro patient » à trois chiffres et un « code patient » composé de deux lettres correspondant à la première initiale du nom et du prénom de la personne concernée ». Ainsi, et comme l’a souligné la CNIL : « Cette procédure aboutit à une pseudonymisation des données, et non à une anonymisation, dans la mesure où il demeurait possible d’isoler un individu dans le jeu de données et de le réidentifier. »
Il convient de relever, sur ce dernier point, que les méthodologies des référence susvisées n’imposent pas aux organismes une anonymisation des données de santé, mais une simple pseudonymisation. Elles prévoient d’ailleurs un régime distinct selon que les données sont « directement identifiantes » ou « indirectement identifiantes » (et donc pseudonymisées). Ainsi, seules ces dernières peuvent être communiquées au responsable du traitement (à savoir l’organisme responsable de la recherche), contrairement aux premières.
Les traitements de données concernés par les manquements susvisés ayant cessé après les contrôles, la présidente de la CNIL a décidé d’adresser un simple rappel aux obligations légales à chacun des deux organismes, comme prévu par la loi « Informatique et Libertés ».
3. Point d’attention
L’analyse d’impact un outil qui contribue à la construction d’un traitement conforme au RGPD et respectueux de la vie privée. Cette analyse – en partie de nature technique – permet d’identifier des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, facilitant ainsi la détermination des mesures techniques et organisationnelles nécessaires pour protéger les données. Indépendamment de son caractère obligatoire pour certains traitements tels que ceux mis en œuvre dans le cadre de la recherche médicale, cette analyse d’impact est vivement recommandée dans l’optique de sécuriser les traitements.
A cet égard, il est rappelé, à toutes fins utiles, que la sécurité des données de santé, qui avait déjà été retenue comme thématique annuelle des contrôles de la CNIL en 2020 et en 2021, est une « question récurrente » que la CNIL rencontre dans un grand nombre de dossiers et qui concerne l’ensemble des établissements de santé. En 2023, la sécurité des données sera encore au cœur des préoccupation de l’autorité de contrôle : « Des vérifications ont déjà été engagées par la CNIL sur l’accès au dossier patient informatisé (DPI) en 2022 et se poursuivront en 2023. Ce choix fait notamment suite à des plaintes reçues par la CNIL qui dénoncent des accès par des tiers non autorisés à des DPI au sein d’établissements de santé. Les contrôles menés auront également pour objet d’examiner l’ensemble des mesures mises en place pour assurer la sécurité des données. »[2]
Lire l’article orignal : ici